Министерство юстиции США предъявило обвинения 34-летнему гражданину Северной Кореи (КНДР) Пак Чин Хёку в причастности к массовым кибератакам вируса-вымогателя WannaCry в 2017 году, атаке на Центробанк Бангладеш в 2016 году, взломе компании Sony Pictures в 2014 году и других преступлениях.

Об этом сообщается на официальном сайте Минюста США.

Отмечается, что указанный северокорейский программист работает на режим КНДР.

Он обвиняется в “участии в заговоре с целью проведения многочисленных разрушительных кибератак во всем мире, что привело к нанесению ущерба огромному количеству компьютерной техники и обширным потерям данных, денег и других ресурсов”.

По данным Минюста США, Пак Чин Хёк является агентом северокорейской разведки, хотя официально работает в компании Chosun Expo Joint Venture. На самом же деле он входит в известную хакерскую команду “Lazarus Group”, которую связывают с правительством Северной Кореи.

Отмечается, что именно Пак Чин Хёк причастен к созданию вредоносного ПО, при помощи которого осуществлялись атаки WannaCry.

атака5

Фото: fbi.gov / Скриншот

Изначально компания Chosun Expo Joint Venture, в которой он работает, должна была стать совместным проектом властей КНДР и Южной Кореи. В то же время северокорейское правительство отказалось от этой идеи.

Несмотря на это, поддержка компании Chosun Expo Joint Venture была продолжена через третьих лиц. В настоящее время компания имеет офисы как в КНДР, так и в Китае. Обвиняемый работал в обеих странах. На родину он вернулся в 2014 году (незадолго до первых атак “Lazarus Group”).

Согласно данным Министерства юстиции США, Chosun Expo Joint Venture является подставной компанией разведки КНДР. В указанной компании Пак Чин Хёк занимает должность разработчика игр. Он владеет Java, JSP, PHP, Flash и Visual C++. В отчете Минюста США указано, что разработанное “Lazarus Group” вредоносное ПО в основном написано на перечисленных языках программирования. Американским следователям удалось связать личные почтовые ящики и соцсети северокорейского программиста с учетными записями, которые относятся к преступной деятельности “Lazarus Group”. Кроме того, следователи смогли обнаружить одну из фальшивых личностей подозреваемого (Kim Hyon Woo), которая помогла выйти на правильный след. В Минюсте отмечают, что Пак Чин Хёк был не единственным “пользователем” этой фальшивой личности.

“Связи между аккаунтами Chosun Expo Пака и аккаунтами Kim Hyon Woo включали общий доступ к зашифрованному архиву .rar, сохраненным учетным записям Kim Hyon Woo в адресной книге Chosun Expo, использование уведомлений о прочтении между этими наборами аккаунтов, использование общих имен и псевдонимов, а также, в числе прочего, доступ к этим аккаунтам осуществлялся с одних и те же IP-адресов”, — подчеркивают в Минюсте США.

В ведомстве считают, что подозреваемый принимал непосредственное участие в создании вредоносных инструментов “Lazarus Group”.

Согласно обнародованному докладу, различные образцы WannaCry и Trojan.Alphanc использовали в качестве управляющего сервера IP-адрес 84.92.36.96. Ранее данный адрес уже встречался ФБР и фигурировал в деле об кибератаке на военного подрядчика Lockheed Martin. Указанный инцидент, как и многие другие, также связывают с “Lazarus Group”. Следователи также обращают внимание на повторное использование кода, практикуемое “Lazarus Group”. Так, один из наиболее распространенных фрагментов этого кода, который называется FakeTLS, можно обнаружить в самых различных вредоносных продуктах группы: WannaCry, MACKTRUCK (использовалась для атаки на компанию Sony Pictures), NESTEGG (использовалась для атаки на Центробанк Филиппин), Contopee (использовалась для атаки на Центробанк Филиппин, а также в других кибератак на банки Юго-Восточной Азии).

атака2

Фото: justice.gov

По итогам расследования Министерство финансов США уже ввело санкции против Пак Чин Хека, а также против компании Chosun Expo Joint Venture. В общей сложности подозреваемому грозит около 25 лет тюрьмы, если он когда-либо попадет в руки американского правосудия.

атака3

атака4

атака1

Фото: justice.gov

СПРАВКА. WannaCry — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда. Массовое распространение WannaCry началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Украина, Индия и РФ. В общей сложности, за короткое время от червя пострадало не менее 500 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям, в более чем 200 странах мира. Основным подозреваемым считается хакерская группировка “Lazarus Group”, которую связывают с правительством КНДР.

Взлом серверов Sony Pictures Entertainment произошел 24 ноября 2014 года. Злоумышленниками были похищены личные данные сотрудников SPE и членов их семей, содержимое внутренней электронной почты, информация о заработной плате, копии неизданных фильмов Sony и другая информация. Похищенные материалы были опубликованы группой хакеров “Guardians of Peace” (“GOP”). Спецслужбы США обвинили правительство Северной Кореи в организации этой кибератаки. Атаку связывали с запланированным выходом художественного фильма “Интервью”, в котором демонстрировалась попытка покушения на лидера Северной Кореи Ким Чен Ына. От хакеров поступали угрозы совершения терактов, если фильм выйдет на экраны.

В декабре прошлого года сообщалось, что хакеры из КНДР могут быть причастны к атакам на криптовалютные биржи.
16 октября издание The New York Times заявило, что в распоряжении КНДР имеется “армия” из более чем 6 тысяч хакеров, которые действуют эффективно и постоянно улучшают свои навыки.
15 октября в Microsoft сказали, что власти Северной Кореи (КНДР) ответственны за кибератаку вируса WannaCry.
25 мая прошлого года сообщалось, что общий ущерб от хакерской атаки с использованием вируса WannaCry составил 1 млрд долларов.